auchfrager
Anmeldungsdatum: 18. Juli 2007
Beiträge: 1269
Wohnort: Euskirchen
|
Seit Wochen habe ich eine Fehlermeldung, die erst verschwindet, wenn ich meine Firewall völlig aus schalte. Ein sudo apt -y update && ... ergibt ständig Get:1 http://archive.canonical.com/ubuntu focal InRelease
Get:2 http://de.archive.ubuntu.com/ubuntu focal InRelease
Get:3 http://archive.ubuntu.com/ubuntu focal-updates InRelease
Err:2 http://de.archive.ubuntu.com/ubuntu focal InRelease
Connection timed out [IP: 45.67.69.51 80]
Err:1 http://archive.canonical.com/ubuntu focal InRelease
Connection timed out [IP: 45.67.69.51 80]
Err:3 http://archive.ubuntu.com/ubuntu focal-updates InRelease
Connection timed out [IP: 45.67.69.51 80]
Get:4 http://de.archive.ubuntu.com/ubuntu focal-updates InRelease
Get:5 http://archive.ubuntu.com/ubuntu focal InRelease Die Ports 22 und 80 sind offen. Kann mir jemand erklären, was hier im Weg steht ?
Die Minimal-Firewall sieht so aus:
#!/bin/bash
#
iptab4="/sbin/iptables"
# Module installieren:
sudo modprobe xt_tcpudp
sudo modprobe xt_multiport
sudo modprobe ip_conntrack
# Alle Regeln löschen:
sudo $iptab4 -F
# Loopback erlauben:
sudo $iptab4 -A INPUT -i lo -j ACCEPT
sudo $iptab4 -A OUTPUT -o lo -j ACCEPT
echo "ssh erlauben."
sudo $iptab4 -A INPUT -p tcp --dport 22 -i enp3s0 -m conntrack --ctstate NEW -j ACCEPT
#
sudo $iptab4 -A OUTPUT -p tcp --dport 80 --sport 1024:65535 -j ACCEPT
echo "Statefull Inspection."
sudo $iptab4 -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo $iptab4 -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Jeder Hinweis ist willkommen. Bearbeitet von kB: Falsche Versionsangabe korrigiert.
Moderiert von kB: Aus dem Forum „Netzwerk und Internetzugang einrichten“ in einen besser passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) im jeweiligen Forum! Danke.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17657
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
So nebenbei: Dein System ist aus dem Support.
Mache eine Neuinstallation.
ftp://cdimage.ubuntu.com/cdimage/lubuntu/releases/20.10/release/lubuntu-20.10-desktop-amd64.iso Ist deine Firewall nur iptables oder ist da noch eine andere FW aktiv?
Was willst du damit bezwecken?
|
auchfrager
(Themenstarter)
Anmeldungsdatum: 18. Juli 2007
Beiträge: 1269
Wohnort: Euskirchen
|
DJKUhpisse schrieb: So nebenbei: Dein System ist aus dem Support.
Mache eine Neuinstallation.
Das war mein Fehler. Genauer meldet es sich mit Ubuntu 20.04.2 LTS (GNU/Linux 5.4.0-65-generic x86_64).
Ist deine Firewall nur iptables oder ist da noch eine andere FW aktiv?
Es gibt nur iptables. Was willst du damit bezwecken?
Ich würde gerne die Software aktuell halten und nur die Ports offen halten, die nötig sind, damit den Rechner niemand kapert.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17657
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
auchfrager schrieb:
Ich würde gerne die Software aktuell halten und nur die Ports offen halten, die nötig sind, damit den Rechner niemand kapert.
Solange da kein Dienst läuft kann da eh niemand was kapern.
Ergo kannst du dir diese FW-Regeln schenken –> weglassen. Wenn, dann musst du eine SPI-Firewall nutzen, damit vom Rechner aus weiterhin Verbindungen aufgebaut werden können, von außen jedoch nicht.
Das hilft aber nur, wenn da ein Dienst läuft, der da nicht laufen soll.
|
auchfrager
(Themenstarter)
Anmeldungsdatum: 18. Juli 2007
Beiträge: 1269
Wohnort: Euskirchen
|
DJKUhpisse schrieb: auchfrager schrieb: Solange da kein Dienst läuft kann da eh niemand was kapern.
Ergo kannst du dir diese FW-Regeln schenken –> weglassen. Wenn, dann musst du eine SPI-Firewall nutzen, damit vom Rechner aus weiterhin Verbindungen aufgebaut werden können, von außen jedoch nicht.
Der Rechner soll von außen erreichbar sein. Und Statefull Inspection mache ich doch hier sudo $iptab4 -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Das hilft aber nur, wenn da ein Dienst läuft, der da nicht laufen soll.
Da läuft nginx, also ist der Port offen. Warum der für apt geschlossen ist, frage ich mich.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17657
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Es gibt einerseits die SPI-Firewall, die den Port "schließt", wenn noch kein dynamischer NAT/PAT-Eintrag vorhanden ist, der erzeugt wird, wenn von innen eine Anfrage rausgeht.
Das sollte auch für apt so funktionieren.
Ich kenne mich aber nicht mit iptables aus, wenn dieser Eintrag das Problem macht, wäre das die richtige Anfrage. Jedoch ist ein Port immer geschlossen, wenn keine Anwendung da lauscht.
Warum benötigst du jetzt eine SPI-Firewall?
Ich sehe da keinen Sicherheitsvorteil, wenn man sich überlegt, welche Netzwerkdienste man laufen lassen will.
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8625
Wohnort: Münster
|
auchfrager schrieb: Seit Wochen habe ich eine Fehlermeldung, die erst verschwindet, wenn ich meine Firewall völlig aus schalte.
Zeige bitte die wirksamen Regeln: sudo iptables -nvL
|
auchfrager
(Themenstarter)
Anmeldungsdatum: 18. Juli 2007
Beiträge: 1269
Wohnort: Euskirchen
|
kB schrieb: auchfrager schrieb:
Zeige bitte die wirksamen Regeln: sudo iptables -nvL
So sieht es aus: Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo any anywhere anywhere
0 0 ACCEPT tcp -- enp3s0 any anywhere anywhere tcp dpt:ssh ctstate NEW /* ssh erlauben IPv4 */
2 104 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- any lo anywhere anywhere
0 0 ACCEPT tcp -- any any anywhere anywhere tcp spts:1024:65535 dpt:http
2 256 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
Ich will klein anfangen.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
auchfrager schrieb: So sieht es aus: Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
Die default policy der drei chains in der filter table ist auf ACCEPT. Das update sollte von daher funktionieren.
Wie ist mit und ohne Firewall, die Ausgabe von:
nc -zv 45.67.69.51 80
nc -zv 45.67.69.51 443
?
|
auchfrager
(Themenstarter)
Anmeldungsdatum: 18. Juli 2007
Beiträge: 1269
Wohnort: Euskirchen
|
lubux schrieb: auchfrager schrieb: So sieht es aus: Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
Die default policy der drei chains in der filter table ist auf ACCEPT. Das update sollte von daher funktionieren.
Wie ist mit und ohne Firewall, die Ausgabe von:
nc -zv 45.67.69.51 80
nc -zv 45.67.69.51 443
?
Ohne ACCEPT sieht es schon einmal so aus:
nc -zv 45.67.69.51 80
Connection to 45.67.69.51 80 port [tcp/http] succeeded!
nc -zv 45.67.69.51 443
Connection to 45.67.69.51 443 port [tcp/https] succeeded!
Werde das Skript noch anpassen.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
auchfrager schrieb: Ohne ACCEPT sieht es schon einmal so aus:
Was genau meinst Du mit "ohne ACCEPT"? auchfrager schrieb: Werde das Skript noch anpassen.
Du sollst das Script erstmal _nicht_ anpassen. Wir wollen ja wissen was z. Zt. passiert bzw. warum es ohne FW geht und mit FW nicht geht. Du sollst lediglich das posten, wie vorgeschlagen.
|
auchfrager
(Themenstarter)
Anmeldungsdatum: 18. Juli 2007
Beiträge: 1269
Wohnort: Euskirchen
|
lubux schrieb: auchfrager schrieb: Ohne ACCEPT sieht es schon einmal so aus:
Was genau meinst Du mit "ohne ACCEPT"? auchfrager schrieb: Werde das Skript noch anpassen.
Du sollst das Script erstmal _nicht_ anpassen. Wir wollen ja wissen was z. Zt. passiert bzw. warum es ohne FW geht und mit FW nicht geht. Du sollst lediglich das posten, wie vorgeschlagen.
Das ist genau so passiert. Es ist zu sehen, dass 80 und 443 offen sind. Ich habe allerdings jetzt schon ausgeführt sudo /sbin/iptables -P INPUT ACCEPT
sudo /sbin/iptables -P FORWARD ACCEPT
sudo /sbin/iptables -P OUTPUT ACCEPT und die Chains explizit noch einmal auf ACCEPT gesetzt und danach mit den von Dir empfohlenen Befehlen dieselbe Antwort erhalten, dass die Ports offen sind. Da habe ich etwas falsch verstanden.
Jetzt funktioniert der Download ! Das freut mich, mir ist aber nicht klar warum es jetzt geht, wenn die Chains schon vorher auf ACCEPT standen. In allen Anleitungen stand, man soll auf DROP setzen.
|